testsl.sh – это бесплатный инструмент командной строки для проверки безопасности SSL, он проверяет сервис сервера на любом порту для поддержки шифров TLS / SSL, протоколов, а также последних криптографических ошибок и т. д.

testssl.sh в значительной степени переносим/ совместим.

Он работает с каждым Linux, Mac OS X, дистрибутивом FreeBSD, на MSYS2 / Cygwin (медленно).

Предполагается также работа с любыми другими системами unixoid.

Однако рекомендуется использовать более новую версию OpenSSL (1.0). / bin / bash является обязательным условием – иначе не было бы сокетов.

Особенности тестирования SSL-безопасности с testsl.ssh

• Четкий вывод: вы можете легко сказать, что хорошо или плохо
• Простота установки: он работает на Linux, Darwin, FreeBSD и MSYS2 / Cygwin из коробки: нет необходимости в установке или настройке
• Гибкость. Вы можете протестировать любые службы SSL / TLS и STARTTLS, а не только веб-серверы на порту 443
• Панель инструментов: несколько параметров командной строки помогут вам выполнить ВАШ тест и настроить ВАШ вывод
• Надежность: характеристики тщательно протестированы
• Многословие: если конкретная проверка не может быть выполнена из-за отсутствия возможности на вашей стороне клиента, вы получите предупреждение
• Конфиденциальность. Только вы видите результат, а не сторонние люди
• Бесплатно: он на 100% с открытым исходным кодом. Вы можете посмотреть код, посмотреть, что происходит, и вы можете его изменить. Черт, даже разработка открыта (github)

Использование testsl.sh Инструмент тестирования безопасности SSL

userid@somehost:~ % testssl.sh



testssl.sh <options>



-h, --help what you're looking at

-b, --banner displays banner + version of testssl.sh

-v, --version same as previous

-V, --local pretty print all local ciphers

-V, --local <pattern> which local ciphers with <pattern> are available?

(if pattern not a number: word match)



testssl.sh <options> URI ("testssl.sh URI" does everything except -E)



-e, --each-cipher checks each local cipher remotely

-E, --cipher-per-proto checks those per protocol

-f, --ciphers checks common cipher suites

-p, --protocols checks TLS/SSL protocols (including SPDY/HTTP2)

-y, --spdy, --npn checks for SPDY/NPN

-Y, --http2, --alpn checks for HTTP2/ALPN

-S, --server-defaults displays the server's default picks and certificate info

-P, --server-preference displays the server's picks: protocol+cipher

-x, --single-cipher <pattern> tests matched <pattern> of ciphers

(if <pattern> not a number: word match)

-c, --client-simulation test client simulations, see which client negotiates with cipher and protocol

-H, --header, --headers tests HSTS, HPKP, server/app banner, security headers, cookie, reverse proxy, IPv4 address



-U, --vulnerable tests all vulnerabilities

-B, --heartbleed tests for heartbleed vulnerability

-I, --ccs, --ccs-injection tests for CCS injection vulnerability

-R, --renegotiation tests for renegotiation vulnerabilities

-C, --compression, --crime tests for CRIME vulnerability

-T, --breach tests for BREACH vulnerability

-O, --poodle tests for POODLE (SSL) vulnerability

-Z, --tls-fallback checks TLS_FALLBACK_SCSV mitigation

-F, --freak tests for FREAK vulnerability

-A, --beast tests for BEAST vulnerability

-J, --logjam tests for LOGJAM vulnerability

-D, --drown tests for DROWN vulnerability

-s, --pfs, --fs, --nsa checks (perfect) forward secrecy settings

-4, --rc4, --appelbaum which RC4 ciphers are being offered?



special invocations:

-t, --starttls <protocol> does a default run against a STARTTLS enabled <protocol>

--xmpphost <to_domain> for STARTTLS enabled XMPP it supplies the XML stream to-'' domain -- sometimes needed

--mx <domain/host> tests MX records from high to low priority (STARTTLS, port 25)

--ip <ip> a) tests the supplied <ip> v4 or v6 address instead of resolving host(s) in URI

b) arg "one" means: just test the first DNS returns (useful for multiple IPs)

--file <fname> mass testing option: Reads command lines from <fname>, one line per instance.

Comments via # allowed, EOF signals end of <fname>. Implicitly turns on "--warnings batch"



partly mandatory parameters:

URI host|host:port|URL|URL:port (port 443 is assumed unless otherwise specified)

pattern an ignore case word pattern of cipher hexcode or any other string in the name, kx or bits

protocol is one of the STARTTLS protocols ftp,smtp,pop3,imap,xmpp,telnet,ldap

(for the latter two you need e.g. the supplied openssl)



tuning options (can also be preset via environment variables):

--bugs enables the "-bugs" option of s_client, needed e.g. for some buggy F5s

--assume-http if protocol check fails it assumes HTTP protocol and enforces HTTP checks

--ssl-native fallback to checks with OpenSSL where sockets are normally used

--openssl <PATH> use this openssl binary (default: look in $PATH, $RUN_DIR of testssl.sh)

--proxy <host>:<port> connect via the specified HTTP proxy

-6 use also IPv6. Works only with supporting OpenSSL version and IPv6 connectivity

--sneaky leave less traces in target logs: user agent, referer



output options (can also be preset via environment variables):

--warnings <batch|off|false> "batch" doesn't wait for keypress, "off" or "false" skips connection warning

--quiet don't output the banner. By doing this you acknowledge usage terms normally appearing in the banner

--wide wide output for tests like RC4, BEAST. PFS also with hexcode, kx, strength, RFC name

--show-each for wide outputs: display all ciphers tested -- not 

Cold Boot – еще один метод, используемый для кражи данных.

Единственная особенность его в том, что злоумышленники при ее реализации имеют прямой доступ к вашему компьютерному оборудованию или всему компьютеру.

В этой статье рассказывается о том, что такое атака типа Cold Boot и как оставаться в безопасности от таких методов атаки.

Что такое атака “холодная загрузка”

В случае атаки с cold boot или атаки reset platform злоумышленник, у которого есть физический доступ к вашему компьютеру, выполняет холодную перезагрузку, чтобы перезагрузить машину, чтобы получить ключи шифрования из операционной системы Windows.

Они учили нас в школах, что оперативная память (Random Access Memory) является энергозависимой и не может хранить данные, если компьютер выключен.

То, что они должны были сказать нам на самом деле: оперативка не может долго хранить данные, если компьютер выключен.

Это означает, что оперативная память по-прежнему хранит данные от нескольких секунд до нескольких минут, прежде чем она исчезнет из-за отсутствия электропитания.

В течение очень малого периода каждый, у кого есть подходящие инструменты, может считывать ОЗУ и копировать его содержимое в безопасное постоянное хранилище с использованием другой облегченной операционной системы на USB-накопителе или SD-карте.

Такая атака называется атакой холодного бута.

Представьте себе, что компьютер несколько минут лежит без присмотра в какой-либо организации.

Любой хакер просто должен установить свои инструменты на месте и выключить компьютер.

Когда ОЗУ охлаждается (данные медленно исчезают), хакер подключает загрузочный USB-накопитель и загружается через него.

Он или она может копировать содержимое во что-то похожее на тот же USB-накопитель.

Поскольку характер отключает компьютер, а затем с помощью выключателя питания стартует его для перезапуска, атака называется холодной загрузкой.

Возможно, вы знали о холодных и теплых загрузках в ранние компьютерные годы.

Холодная загрузка – это то действие, когда вы запускаете компьютер с помощью выключателя питания.

Горячая загрузка – это когда вы используете возможность перезапуска компьютера с помощью параметра перезапуска в меню выключения.

Замораживание ОЗУ

Это еще один трюк в рукаве хакера.

Они могут просто распылять какое-либо вещество (например, жидкий азот) на модули ОЗУ, чтобы они медленно замораживались.

Чем ниже температура, тем дольше ОЗУ может хранить информацию.

Используя этот трюк, они (хакеры) могут успешно завершить атаку холодной загрузки и скопировать максимальное количество данных.

Чтобы ускорить процесс, они используют файлы автозапуска в облегченной операционной системе на USB-флешках или SD-картах, которые загружаются вскоре после закрытия взломанного компьютера.

Этапы холодной атаки

Не обязательно, чтобы каждый использовал общий стиль атаки, подобные тем, которые приведены ниже.

Однако большинство из общих шагов перечислены ниже.

• Измените информацию в BIOS, чтобы сначала загрузиться с USB-устройства.
• Вставьте загрузочный USB-диск в соответствующий компьютер
• Выключите компьютер принудительно, чтобы процессор не успел отключить любые ключи шифрования или другие важные данные; знайте, что правильное выключение может также помочь, но может быть не таким успешным, как принудительное закрытие, нажав клавишу включения.
• Как можно скорее, используйте выключатель питания для холодной загрузки
• Поскольку настройки BIOS были изменены,  ОС загружается с USB-накопителя
• Даже когда эта ОС загружается, она автоматически запускают процессы для извлечения данных, хранящихся в ОЗУ.
• Выключите компьютер снова после проверки места назначения (где хранятся похищенные данные), удалите USB-накопитель USB

Какая информация находится под угрозой при этой атаке

Наиболее распространенной информацией / данными, подверженными риску, являются ключи шифрования и пароли.

Обычно целью атаки с холодной загрузкой является незаконное извлечение ключей шифрования диска без разрешения владельца.

Последние события, которые происходят при правильном выключении  – это демонтирование дисков и использование ключей шифрования для их шифрования, поэтому возможно, что если компьютер отключится внезапно, данные могут быть доступны для злоумышленника.

Защитите себя от атаки холодной загрузки

На организационном уровне вы можете убедиться, что находитесь рядом со своим компьютером, по крайней мере, 5 минут после его выключения.

Плюс одна из следующих мер предосторожности заключается в том, чтобы правильно выключать машину, используя меню выключения, вместо того, чтобы выдергивать шнур или использовать кнопку питания, чтобы выключить компьютер.

Вы не можете многое сделать, потому что это не проблема программного обеспечения. Это больше связано с оборудованием. Поэтому производители оборудования должны взять на себя инициативу по удалению всех данных из ОЗУ как можно скорее после выключения компьютера, чтобы избежать и защитить вас от атаки с холодным боем.

Некоторые компьютеры теперь перезаписывают ОЗУ до полного закрытия. Тем не менее, возможность принудительного отключения всегда есть.

Техника, используемая BitLocker, заключается в использовании ПИН-кода для доступа к ОЗУ.

Даже если компьютер был в спящем режиме (состояние выключения компьютера), когда пользователь пытается получить доступ к чему-либо, сначала он или она должны ввести ПИН-код для доступа к ОЗУ.

Этот метод также не является безумно секьюрным, поскольку хакеры могут получить ПИН с помощью одного из методов фишинга или социальной инженерии.

Заключение

Приведенная выше статья объясняет, что такое атака холодной загрузки и как она работает.

Существуют некоторые ограничения, из-за которых 100% -ная безопасность не может быть гарантирована от такой атаки.

Но, насколько я знаю,  компании работают над тем, чтобы найти лучшее решение, чем просто переписывать ОЗУ или использовать ПИН для защиты содержимого ОЗУ.

¯_(ツ)_/¯

Примечание: Информация для исследования, обучения или проведения аудита. Применение в корыстных целях карается законодательством РФ.

Процедура включения TLS 1.3 в ваших любимых браузерах

Используете ли вы TLS 1.3  c повышенной производительностью и безопасностью?

Типовая рабочая версия TLS 1.3 была выпущена в 2017 году и приятно видеть, что многие веб-сайты приняли это новшество.

Если вы являетесь владельцем веб-сайта, вы можете рассмотреть возможность его включения.

Ознакомьтесь с моей предыдущей статьей о том, Как включить TLS 1.3 в Nginx, Cloudflare

Но как насчет клиентских браузеров?

Chrome начиная с версии 63 и Firefox 61 начали поддерживать TLS 1.3, и если ваш браузер еще не поддерживает его, то вам не хватает функций производительности и конфиденциальности.

Включение TLS 1.3 в Chrome

• Запустите Chrome
• Введите в адресной строке следующее и нажмите Enter.

chrome://flags/#tls13-variant

Убедитесь, что он не отключен. Вы можете выбрать «Default» или «Ebnaled».

• Перезапустите Chrome

Более новые версии Chrome

• Введите “chrome://flags/” в адресной строке.
• Введите “TLS” в поле поиска.
• Установите TLS на значение «Default» или «Ebnaled».
• Перезапустите браузер.

Включение TLS 1.3 в Firefox

• Запустите Firefox
• Введите about:config в адресной строке и нажмите Enter.
• Начните вводить tls.version в поиске, и вы должны увидеть следующее:

• Убедитесь, что значение security.tls.version.max равно 4
• Если нет, дважды щелкните по нему, чтобы изменить значение 4.

Включение TLS 1.3 в Safari

• Откройте терминал и станьте рутом

sudo su - root

• Введите следующую команду и нажмите Enter.

defaults write /Library/Preferences/com.apple.networkd tcp_connect_enable_tls13 1

• Переустановите Safari

Тестирование браузера с TLS 1.3

Как вы можете гарантировать, что ваш браузер поддерживает последнюю версию TLS?

Есть несколько инструментов, которые вы можете использовать.

Просто нажмите следующую ссылку, чтобы проверить это.

Проверка безопасности браузера с помощью Cloudflare – вот как выглядит результат, когда браузер поддерживает его

How’s My SSL –  проверьте совместимость протокола SSL / TLS, и известные уязвимости.

Вероятность того, что одно из ваших писем в папке входящих сообщений Outlook содержит вредоносное ПО безусловно существует, но как вы можете определить эту почту, содержащую вредоносное ПО?

В этой статье мы будем давать советы о том, как обращаться с документами и файлами, которые отправляются вам по почте.

Причина, по которой мы решили опубликовать сообщение, состоит в том, что мы наблюдаем увеличение числа атак, которые используют открытые приложения Job для получения доступа.

Как защитить себя от вредоносных программ по почте

К счастью, многие ваши сервисы защиты были установлены вашим системным инженером, что снизит вероятность того, что вредоносный документ попадет в ваш почтовый ящик, и мы не хотим, чтобы это было техническим советом, поэтому мы будем держать их в курсе.

Когда вредоносный документ попадет в ваш почтовый ящик, вероятность очень высока если:

Вредоносный документ хранится в zip-файле, который требует открытия по паролю, кибер-преступники и хакеры используют этот метод, потому что это часто единственный способ обойти средства безопасности, которые были установлены вашим системным инженером.

Поэтому, когда вы получаете zip-файл, которому нужен пароль:

Проверьте, должны ли вы получить такой файл, и если ответ «да», проверьте (кого-то, кого вы знаете и можете идентифицировать) отправителя, позвоните и убедитесь, что файл, который был отправлен, действительно является файлом, который должен быть открыт вами на вашем компьютере.

Одной из рекомендуемых задач, которые мы можем запускать в наших операционных системах, независимо от ее разработчика, является ее обновление с последними исправлениями, разработанными производителем, поскольку это оптимизирует лучшие уровни безопасности, совместимости и производительности.

Хотя Linux – одна из самых безопасных операционных систем, мы не можем оставить в стороне проблему обновлений, так как постоянные текущие угрозы были разработаны для воздействия на все типы операционных систем.

Чтобы следовать этому руководству, вам нужно быть root пользователем.

Установите Yum-cron в CentOS 7

Yum-cron – это инструмент командной строки, который позволяет нам управлять обновлениями системы и пакетов в CentOS-системах.

Этот демон доступен в CentOS и Fedora, который использует скрипт cron, которым он проверяет каждый день, если есть доступные обновления, и если они существуют, это дает нам возможность установить их, загрузить или отправить нам уведомление по электронной почте.

Эта утилита доступна в репозитории CentOS 7, и для ее установки мы выполним следующее:

yum -y install yum-cron

По завершении установки мы начнем работу службы yum-cron и настроим ее для автоматического запуска в начале системы, для этого мы можем выполнить следующие команды.

systemctl start yum-cron

systemctl enable yum-cron

Таким образом, мы установили yum-cron в CentOS 7.

Настройка Yum-cron для автоматического обновления

После установки пакета yum-cron в CentOS 7 необходимо будет настроить его для автоматического обновления.

По умолчанию yum-cron предоставляет три типа обновлений:

• Обновление по умолчанию с помощью команды:

yum upgrade

• Минимальное обновление
• Обновление безопасности

Чтобы настроить эти значения, мы должны перейти в каталог с yum-cron.conf и получить к нему доступ на редактирование  нужным редактором, в этом случае nano:

cd /etc/yum/

nano yum-cron.conf

В этом файле мы должны перейти к строке update_cmd, чтобы определить тип обновления, которое будет исполнен вашей системой CentOS 7.

Мы видим, что его текущее значение по умолчанию и для загрузки и установки update  – Security  мы определим следующую строку:

update_cmd = security

Теперь мы должны подтвердить, что в строке update_messages это значение yes

Наконец, необходимо будет подтвердить, что следующие строчки выставлены на yes

Таким образом, всякий раз, когда доступно обновление для системы безопасности, система автоматически загружает необходимые пакеты и затем применяет все обновления.

download_updates = yes

apply_updates = yes

Теперь мы увидим, как настроить уведомление по сообщениям, помните, что yum-cron позволяет нам отправлять уведомление на адрес электронной почты.

Если мы хотим получать уведомление по почте, мы установим следующее значение в строке emit_via:

emit_via = email

Теперь мы можем определить адрес электронной почты:

email_from = root@localhost

email_to = solvetic@outlook.com

email_host = localhost

Сохраните изменения, используя следующую комбинацию клавиш Ctrl + O и выйдите из редактора, используя Ctrl + X.

После обработки изменений перезапустите службу yum-cron, выполняя следующее.

С помощью этого процесса обновления системы будут автоматически загружаться и обновления будут применяться с использованием yum-cron ежедневно.

systemctl restart yum-cron

Настройка исключений для пакетов в CentOS 7

На этом этапе мы можем не применять автоматические обновления на некоторых пакетах, включая ядро CentOS 7.

Для этих исключений мы снова правим файл конфигурации:

cd /etc/yum/

nano yum-cron.conf

В финальной части файла мы найдем базовый раздел, и мы должны добавить следующую строку, например, чтобы исключить ядро с MySQL:

exclude = mysql* kernel*

В этом конкретном примере все пакеты с именами, начинающимися с «mysql» или «kernel», будут отключены для автоматического обновления.

Мы сохраняем изменения и перезапускаем службу, выполняя:

systemctl restart yum-cron

Yum-cron описание параметров

В этом конфигурационном файле yum-cron можно указать четыре основных параметра:

cd /var/log/

cat cron | grep yum-daily

cat yum.log | grep Updated

Добрый день друзья!

Сегодня мы коснемся вопроса web безопасности, а именно нелегитимного траффика.

Наличие спама и нежелательных переходов, которые в свою очередь могут дискредитировать ваш сайт/приложение, является серьезной проблемой для многих.

По данным компании statista.com общий трафик различных вредоносных источников составляет значительную долю из всего объема.

Это могут быть как движки-поисковики по определенным целевым запросам, инструменты хакинга для накрутки, инструмента кликджекига, имитаторы, двойники и т.д.

В данной связи мы решили провести поиск средств защиты от этих угроз на нашем рынке ИБ.

Если у вас малый/средний бизнес, напрямую зависимый от вэб-технологий ( сайт, приложение, сервис) вы едва-ли сможете позвоить себе нанимать вендера услуг по защите хостинга или VPS.

Вместо этого есть альтернативные решения “под ключ”.

Сегодня мы хотим познакомить вас с одним из отечественных решений по веб-безопасности botfaqtor. [ https://botfaqtor.ru/ ]

Разработана ребятами из «Бот-Фактор», которые являются эксклюзивным партнером голландской компании Witstroom в России.

Система позволяет выявлять различные типа зомби-траффика, определять его источник и блокировать в дальнейшем.

Уникальность заключается в том, что система работает не только сигнатурным методом с базами нежелальных Ip прокси, socks и т.д. , но и использует эврестический метод, т.е. анализ поведеческого фактора бота злоумышленников.

Итак, для начала работы перейдите по ссылке: https://botfaqtor.ru

На главной странице найдите кнопку “Добавить свой сайт”

Выполните регистрацию, заполнив необходимые поля:

Далее вам придет письмо, на указанную выше почту, с просьбой подтверждения аккаунта.

В моем случае, письмо пришло через 5 минут после регистрации.

Введите адрес почты и пароль, которые вы указали ранее.

После авторизации вы попадете на главную страницу управления.

1. Dashboard

Это первая страница на которую, вы попадаете. При добавленном сайте здесь вы будете видеть количество ботов/живых пользователей за выбранный период по дням и краткую классификацию ботов по 4 параметрам (тип бота, источник, посадочная страница, география).

По умолчанию у меня был выставлен голландский язык  – Nl.

Чтобы изменить язык, найдите кнопку в правом верхнем углу, которая предложит вам раскрывающийся список при нажатии.

2. My sites

Эта страница показывает ваши сайты и позволяет:

• Добавить новый сайт
• Удалить существующий сайт
• Изменить статус work on / work off для сайтов
• Так же показывает количество ботов и реальных людей на данный момент времени
• Здесь вы можете скопировать скрипты для добавления на свой сайт. С момента добавления скриптов на сайт анализ по трафику будет доступен в меню Dashboard и Reports.

3. Blocking

Здесь можно добавить блокировку на добавленный сайт и видеть количество заблокированных ботов за сегодня и в целом.

Видео обзор программы: